Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-7760

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 7.8
CVSS2: 4.6
EPSS Низкий

Уязвимость повышения уровня доступа в Mozilla через манипуляцию файлами службы поддержки обновления на Windows

Описание

Уязвимость заключается в возможности изменения злоумышленником пути к оригинальному файлу, который используется службой поддержки обновления Mozilla для выполнения изменений. Используя специальный путь в параметре callback, злоумышленник способен манипулировать файлами в каталоге установки и повысить уровень доступа, воздействуя на службу поддержки обновления Mozilla, обладающую привилегированным доступом. Для осуществления этой атаки необходим локальный доступ к системе, и она затрагивает только Windows.

Затронутые версии ПО

  • Firefox ESR до версии 52.2
  • Firefox до версии 54

Тип уязвимости

Повышение уровня доступа

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 52.2.0 (исключая)
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 54.0 (исключая)
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

EPSS

Процентиль: 34%
0.00138
Низкий

7.8 High

CVSS3

4.6 Medium

CVSS2

Дефекты

CWE-417

Связанные уязвимости

ubuntu логотип

CVE-2017-7760

CVSS3: 7.8
ubuntu
больше 7 лет назад

The Mozilla Windows updater modifies some files to be updated by reading the original file and applying changes to it. The location of the original file can be altered by a malicious user by passing a special path to the callback parameter through the Mozilla Maintenance Service, allowing the manipulation of files in the installation directory and privilege escalation by manipulating the Mozilla Maintenance Service, which has privileged access. Note: This attack requires local system access and only affects Windows. Other operating systems are not affected. This vulnerability affects Firefox ESR < 52.2 and Firefox < 54.

debian логотип

CVE-2017-7760

CVSS3: 7.8
debian
больше 7 лет назад

The Mozilla Windows updater modifies some files to be updated by readi ...

github логотип

GHSA-v3f8-p9hj-32cj

CVSS3: 7.8
github
больше 3 лет назад

The Mozilla Windows updater modifies some files to be updated by reading the original file and applying changes to it. The location of the original file can be altered by a malicious user by passing a special path to the callback parameter through the Mozilla Maintenance Service, allowing the manipulation of files in the installation directory and privilege escalation by manipulating the Mozilla Maintenance Service, which has privileged access. Note: This attack requires local system access and only affects Windows. Other operating systems are not affected. This vulnerability affects Firefox ESR < 52.2 and Firefox < 54.

suse-cvrf логотип

openSUSE-SU-2017:1620-1

suse-cvrf
больше 8 лет назад

Security update for Mozilla based packages

EPSS

Процентиль: 34%
0.00138
Низкий

7.8 High

CVSS3

4.6 Medium

CVSS2

Дефекты

CWE-417